De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net

More documents

Recommendations

Info

Almacene valores hash de contraseña unidireccionales (con un valor salt aleatorio). Evite la inyección SQL al validar credenciales de usuario. Almacenar valores hash de contraseña unidireccionales (con salt) Las aplicaciones Web que utilizan la autenticación mediante Formularios necesitan a menudo almacenar las credenciales de usuario (incluidas las contraseñas) en una base de datos. Por motivos de seguridad, no debería almacenar contraseñas (texto sin cifrar o cifrado) en la base de datos. Debería evitar almacenar contraseñas cifradas porque eso aumenta los problemas de administración de claves; puede asegurar la contraseña con cifrado, en cuyo caso tiene que pensar en cómo almacenar la clave de cifrado. Si la clave se convierte en vulnerable, un atacante puede descifrar todas las contraseñas del almacén de datos. La opción preferida es: Almacenar un valor hash unidireccional de la contraseña. Vuelva a calcular el valor hash cuando haya que validar la contraseña. Combine el valor hash de la contraseña con un valor salt (un número aleatorio de criptografía segura). Al combinar el valor salt con el valor hash de la contraseña, se reduce la amenaza asociada a los ataques de diccionario. Crear un valor salt El siguiente código muestra cómo generar un valor salt con la funcionalidad de generación de números aleatorios que proporciona la clase RNGCryptoServiceProvider en el espacio de nombres System.Security.Cryptography. public static string CreateSalt(int size) { } RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider(); byte[] buff = new byte[size]; rng.GetBytes(buff); return Convert.ToBase64String(buff); Crear un valor hash (con un valor salt) El siguiente fragmento de código muestra cómo generar un valor hash a partir de una contraseña suministrada y un valor salt. public static string CreatePasswordHash(string pwd, string salt) { } string saltAndPwd = string.Concat(pwd, salt); string hashedPwd = FormsAuthentication.HashPasswordForStoringInConfigFile( return hashedPwd; saltAndPwd, "SHA1");
Más información Para obtener todos los detalles de implementación de esta opción, consulte "Cómo utilizar la autenticación mediante Formularios con SQL Server 2000" en la sección Referencia de esta guía. Ataques de inyección SQL Si utiliza la autenticación mediante Formularios en una base de datos SQL, debería tomar las precauciones que se describen en esta sección para evitar ataques de inyección SQL. La inyección SQL es el acto de pasar código SQL adicional (y dañino) a una aplicación, que suele agregarse al código SQL legítimo de la aplicación. Todas las bases de datos SQL pueden ser objeto de la inyección SQL en mayor o menor medida, pero este capítulo se centra en SQL Server. Debería prestar especial atención a la posibilidad de recibir ataques de inyección SQL cuando procese acciones de usuario que formen parte de un comando SQL. Si el esquema de autenticación se basa en la validación de usuarios en una base de datos SQL, por ejemplo, si utiliza la autenticación mediante Formularios en SQL Server, debe protegerse de los ataques de inyección SQL. Si crea cadenas SQL con entrada no filtrada, la aplicación puede ser objeto de una entrada del usuario malintencionada (recuerde que nunca debe confiar en las entradas del usuario). El riesgo en este caso es que al insertar la entrada del usuario en una cadena que se convierte en una instrucción ejecutable, un usuario malintencionado puede agregar comandos SQL a las instrucciones SQL pretendidas, mediante caracteres de escape. Los fragmentos de código de las siguientes secciones utilizan la base de datos Pubs que suministra SQL Server para mostrar ejemplos de inyección SQL. Problema La aplicación debe ser susceptible de recibir ataques de inyección SQL al incorporar entradas del usuario u otros datos desconocidos en consultas de base de datos. Por ejemplo, los dos fragmentos de código siguientes son susceptibles de recibir un ataque. Crea instrucciones SQL con acciones del usuario sin filtrar. SqlDataAdapter myCommand = new SqlDataAdapter( "SELECT au_lname, au_fname FROM authors WHERE au_id = '" + Login.Text + "'", myConnection); Llama a un procedimiento almacenado generando una única cadena que incorpore acciones del usuario sin filtrar. SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure '" + Login.Text + "'", myConnection); Anatomía de un ataque de inyección de cadenas SQL Cuando se aceptan los valores de entrada del usuario sin filtrar en la aplicación (como se muestra anteriormente), un usuario malintencionado puede utilizar caracteres de escape para agregar sus propios comandos. Piense, por ejemplo, en una consulta SQL que espera que la entrada del usuario sea un número de la seguridad social como 172-32-xxxx y que tiene el siguiente aspecto:
Page 1 and 2: De la Seguridad del acceso a datos
Page 3 and 4: 3. Asegurar datos que se extienden
Page 5 and 6: autenticación de SQL en la aplicac
Page 7 and 8: Utilizar cuentas locales personaliz
Page 9 and 10: Empresariales (COM+) que se ejecute
Page 11 and 12: - o bien - SqlConnectionString = "S
Page 13 and 14: pantalla de SQL Server (http://www.
Page 15 and 16: {Insert figure: CH12 - SQL Applicat
Page 17 and 18: Conectar con privilegios mínimos C
Page 19 and 20: e. Configure permisos del modo en q
Page 21 and 22: Si se configura una aplicación Web
Page 23 and 24: Para obtener un tutorial de impleme
Page 25: Utilizar las ACL para proteger la c
Page 29 and 30: Solución Se pueden utilizar las si
Page 31 and 32: Server\MSSQL\LOG. Puede utilizar cu
Page 33: Cuando utilice la autenticación me

De la Seguridad del acceso a datos en aplicaciones ASP ... - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?